Home » Закон Таиланда о защите персональных данных: обзор 2023 года

Закон Таиланда о защите персональных данных: обзор 2023 года

by

Введение

Закон Таиланда о защите персональных данных BE 2562 (2019 г.) («НДПА“) вступили в полную силу в середине 2022 года, и с тех пор были изданы различные подзаконные акты, разъясняющие определенные положения. Ниже мы приводим краткий обзор событий НДПА в 2023 году.

Развитие НДПА

Недавно Комитет по защите персональных данных Таиланда («ПДПК“) провел расследования в отношении контролеров данных на предмет предполагаемого несоблюдения PDPA. Два недавних расследования резюмируются следующим образом:

  • Расследование в отношении страховой компании по факту предполагаемого сбора персональных данных

Расследование было начато после разоблачения на популярной странице в социальной сети Facebook, в котором выяснилось, что многие страховые агенты собирали личные данные студентов и их родителей по всему Таиланду с помощью анкет и домашних заданий. Собранные данные включали имя, возраст, адрес, номер телефона, ежемесячный доход и детали финансового планирования в отношении семей студентов. Субъекты данных не были уведомлены о деталях такого сбора, и от них не было получено никакого согласия.

23 ноября 2023 года PDPC вызвал страховую компанию для предоставления дополнительных подробностей и подтвердил обязательство компании строго регулировать деятельность своих агентов. Расследование предполагаемого несоблюдения требований все еще продолжается, и PDPC может наложить административные санкции на страховую компанию. PDPC также связался с несколькими соответствующими организациями, например, с Управлением Комиссии по страхованию (OIC) и Тайской ассоциацией страхования жизни, чтобы помочь скоординировать этот вопрос.

  • Расследование компании, занимающейся разработкой приложений для социальных сетей, на предмет утечки данных

27 ноября 2023 года компания-разработчик приложений для социальных сетей сообщила, что из-за несанкционированного доступа произошла утечка до 440 000 элементов личных данных, из которых 300 000 элементов были связаны с пользователями приложения. PDPC незамедлительно вызвал компанию, чтобы предоставить дополнительную информацию о типах и объеме затронутых персональных данных. PDPC также проинформировал компанию о необходимости рассмотреть возможность принятия политики исправления и возмещения ущерба для пострадавших.

Согласно статистике PDPC, с даты вступления в силу PDPA в 2022 году по 19 января 2024 года PDPC издал около 91 административный приказ, в основном требующий от контролеров/обработчиков данных принять меры, исправить проблемы или прекратить определенную деятельность. Статистика также показывает, что офис PDPC получил более 390 жалоб и был уведомлен о случаях утечки данных в более чем 380 случаях.

С точки зрения нормативного правоприменения, вышеупомянутые расследования и административные постановления PDPC продемонстрировали более активный подход PDPC к правоприменению.

  • Об издании административных приказов в случае подачи жалоб – с 22 июня 2023 г.

2 июня 2023 года НДПК опубликовало уведомление, устанавливающее правила и порядок издания административного приказа экспертной комиссии, которое вступило в силу 22 июня 2023 года.

Read more:  Брюссель согласен простить двигатели внутреннего сгорания, если они используют синтетическое топливо с 2035 года

В соответствии с PDPA, если от субъекта данных поступает жалоба на то, что контролер/обработчик данных нарушил PDPA, экспертный комитет может издать административный приказ контролеру/обработчику данных о выполнении, прекращении или исправлении своих действий в течение указанного срока. период времени. В этом уведомлении далее предусматривается, что такой административный приказ должен включать:

  • фактические сведения о предмете административного приказа;
  • соответствующий закон; и
  • соображения и обоснования по усмотрению комитета,

    • и что контролер/обработчик данных должен быть уведомлен в письменной форме.

    • О назначении ответственных за защиту данных – с 13 декабря 2023 г.

    31 августа 2023 года PDPC опубликовал уведомление в соответствии со статьей 41(2) PDPA, устанавливающее критерии назначения должностного лица по защите данных («ДПО«) для контролеров и обработчиков данных, который вступил в силу 13 декабря 2023 года.

    В соответствии с этим уведомлением контролеры/обработчики данных должны будут назначить DPO, если:

  • деятельность по переработке является частью их основной деятельности;
  • их деятельность по обработке требует регулярного мониторинга персональных данных или систем; и
  • их деятельность по обработке включает в себя большие объемы персональных данных.

    • Офис PDPC также анонсировал форму самооценки для назначения DPO, которая поможет организациям внутренне решить, необходимо ли им назначать DPO, а также форму уведомления о назначении DPO, которая включает необходимую информацию о DPO, которую необходимо уведомить PDPC. Офис. Чтобы облегчить выполнение этого обязательства, офис PDPC также объявил форму уведомления о назначении DPO, которую можно отправить в офис PDPC по электронной почте: [email protected].

    Однако стоит отметить, что НДПА и уведомление, устанавливающее критерии назначения DPO, ничего не говорят о сроках уведомления о назначении DPO. Таким образом, следует продолжать отслеживать практику соблюдения сроков уведомления.

    • О мерах безопасности для контролеров данных, освобожденных от требований PDPA – вступает в силу с 7 марта 2024 г.

    В соответствии с разделом 4 PDPA некоторые контролеры данных освобождаются от соблюдения PDPA, например: определенные органы государственной власти, обязанные обеспечивать государственную безопасность, средства массовой информации, Палата представителей, Сенат, Парламент, суды и компания кредитного бюро. Другие исключения также могут быть сделаны королевским указом. Тем не менее, PDPA по-прежнему требует от освобожденных контролеров данных принять меры безопасности для защиты персональных данных.

    В связи с этим 1 декабря 2023 года PDPC выпустил уведомление, устанавливающее стандарты безопасности для контролеров данных, освобожденных от действия PDPA, которое вступит в силу 7 марта 2024 года. Ключевые меры включают, например:

  • Осуществление организационных, технических и физических мер в отношении персональных данных в любых формах;
  • Обеспечение конфиденциальности, целостности и доступности персональных данных;
  • Внедрение контроля доступа, проверка личности и аутентификация, авторизация, доступ по принципу служебной необходимости/наименьших привилегий, управление доступом пользователей, регистрация и отмена регистрации пользователей, предоставление доступа пользователей, управление правами привилегированного доступа, удаление или настройка прав доступа. ;
  • Повышение осведомленности сотрудников о конфиденциальности и безопасности; и
  • Принятие мер псевдонимизации или шифрования.
    • О надлежащих мерах защиты исторических документов или архивов, представляющих общественный интерес – вступает в силу с 7 марта 2024 г.
    Read more:  The Guardian - 1 июля 2023 г. » Электронные журналы в формате PDF

    В соответствии с PDPA сбор персональных данных может осуществляться без согласия, если он предназначен для достижения цели, связанной с подготовкой исторических документов или архивов для общественных интересов, при условии, что существуют соответствующие меры для защиты прав субъектов данных.

    В результате 1 декабря 2023 года PDPC издал настройку уведомления. соответствующие гарантии, которые вступят в силу 7 марта 2024 года. Уведомление требует, чтобы контролер данных реализовал соответствующие меры безопасности, аналогичные тем, которые изложены в PDPC. ранее выпущенный Уведомление о мерах безопасности контролеров данных, таких как принятие организационных, технических и физических мер, принятие мер псевдонимизации или шифрования.

    • О более широкой передаче данных – вступает в силу 24 марта 2024 г.

    12 декабря 2023 года PDPC опубликовал уведомление о правилах обеспечения защиты данных при трансграничной передаче в зарубежную страну (раздел 28 PDPA), которое вступит в силу 24 марта 2024 года. В уведомлении изложены два критерия для рассмотрения адекватности стандарта защиты данных страны-получателя/международной организации:

  • В стране/организации назначения должен быть закон/положение о защите данных, соответствующий PDPA, особенно обязательство контролера данных иметь соответствующие меры безопасности, включая меры защиты данных, которые позволяют обеспечить соблюдение прав субъекта данных и средства правовой защиты; и
  • Страна/организация назначения должна иметь агентство или орган по обеспечению соблюдения закона/положения о защите данных..

    • Кроме того, это уведомление позволяет передавать на рассмотрение PDPC для решения вопросы, касающиеся адекватности стандарта защиты данных страны-получателя/международной организации. В этом отношении PDPC может самостоятельно опубликовать список стран, которые, как считается, обеспечивают адекватный уровень защиты данных.

    • О перекрестной передаче данных между филиаламиd предприятия – вступает в силу 24 марта 2024 г.

    12 декабря 2023 года PDPC также опубликовал уведомление об обязательных корпоративных правилах для дочерних предприятий и соответствующих гарантиях (раздел 29 PDPA), которое вступит в силу 24 марта 2024 года. В этом уведомлении изложены критерии установления обязательных корпоративных правил. («БЦР“) и процесс сертификации такого BCR офисом PDPC.

    В уведомлении также излагаются соответствующие меры безопасности, позволяющие контролерам данных или обработчикам данных осуществлять передачу данных в отсутствие BCR или решения PDPC относительно адекватности стандартов защиты данных в стране-получателе или международной организации.

    Read more:  На малазийских концертах теперь должен быть обязательный «выключатель» после «Поцелуя на сцене» 1975 года

    Соответствующие гарантии могут быть достигнуты путем соблюдения одного из следующих условий:

  • наличие общепринятых стандартных договорных положений;
  • получение сертификата о том, что были реализованы соответствующие меры защиты для трансграничной передачи персональных данных, для чего впоследствии будет выпущен механизм сертификации; или
  • разработка юридически обязательного и исполнимого инструмента в случае передачи данных между государственными учреждениями Таиланда и государственными органами других стран.

    • Кроме того, соответствующие гарантии должны иметь юридическую силу и быть обязательными для заинтересованных сторон, обеспечивать защиту данных, права и жалобы субъектов данных, а также включать меры безопасности, соответствующие минимальным стандартам.

    • О соответствующих гарантиях при сборе данных о судимости – вступает в силу с 7 апреля 2024 г.

    НДПА требует, чтобы любой сбор данных о судимости проводился под контролем уполномоченного официального органа или при наличии соответствующих гарантий. 28 декабря 2023 года PDPC опубликовал уведомление о соответствующих гарантиях при сборе судимостей, не осуществляемом под контролем уполномоченного официального органа, которое вступит в силу 7 апреля 2024 года.

    Согласно этому уведомлению, любой сбор судимостей, не осуществляемый под контролем уполномоченного официального органа, может проводиться, когда этого требует закон. Если такой сбор не требуется по закону, необходимо получить явное согласие от субъекта данных. Такой сбор также предназначен для ограниченных целей, которые включают, например, проверку квалификации на работу/должность и т. д.

    Контроллер данных также должен принять организационные и технические меры, которые могут включать в себя физические меры, для обеспечения сбора, использования и раскрытия информации о судимости. в той степени, в которой это необходимо в соответствии с законными целями контролера данных. Контроллер данных может хранить такие судимости в течение максимум шести месяцев после завершения связанных с ними операций, если иное не указано в других законах или если от субъектов данных не было получено явное согласие..

    • О надлежащих гарантиях сбора данных для исследований или статистики – вступает в силу 7 апреля 2024 г.

    PDPA разрешает сбор персональных данных без согласия, если это необходимо для исследовательских или статистических целей. То же самое относится и к конфиденциальным персональным данным, если существует юридическое обязательство по достижению целей в отношении научных, исторических или статистических исследований. Однако оба сценария требуют от контролера данных принятия соответствующих мер для защиты прав субъекта данных. 28 декабря 2023 года PDPC опубликовал уведомление о соответствующих гарантиях сбора данных в целях: (i) исследований или статистики; (ii) научные, исторические или статистические исследования; или (iii) другие общественные интересы. Уведомление вступит в силу 7 апреля 2024 года.

    2024-01-30 15:21:51


    1706661999
    #Закон #Таиланда #защите #персональных #данных #обзор #года

    Прабово и Гянджар сохранят внешнеполитический статус-кво, а Аниес добивается перемен – Правила

    by nachedeu

    Житель Корка утверждает, что ему ошибочно запретили летать рейсами Ryanair

    by nachedeu

    Leave a Comment

    This site uses Akismet to reduce spam. Learn how your comment data is processed.